what 파이버스

이걸 근데 100% KelpDAO의 잘못으로 볼 수 있을까? 1. 1-of-1 DVN에 대한 조치가 왜 없었나 1-of-1 DVN이 구조적으로 취약하다는 것은 이미 레이어제로 팀에서도 알고 있었으면 권고 수준이 아니라 설정 단계에 기본적으로 1-of-1을 못하도록 설정했어야 하는 것 아닌지? 2. 결국은 DVN의 문제 결과적으로 Kelp DAO의 DVN 키 유출 문제가 아니라 RPC 오염 공격으로 DVN이 위조 메시지를 승인한 문제면 검증 프로세스 문제인데 이걸 온전히 KelpDAO의 셋업 문제로 치부하기엔 좀 문제가 있지않나

레이어제로, 사건보고서 간단요약 -이번 해킹은 LayerZero 자체 문제가 아닌 KelpDAO의 rsETH 설정 문제 -1-of-1 DVN 설정 문제이며 프라이빗 키 탈취가 아닌 DVN이 의존하던 하위 RPC 인프라를 오염시켰음 -op-geth 바이너리 바꿔치기, RPC 스푸핑 공격, 정상 RPC 대상 DDos 공격 등 복합적인 공격이 발생함 -이로 인해 DVN이 실제 발생하지 않은 허위 트랜잭션까지 승인하게 된 검증 경로 교란 공격에 가까움 -사후 RPC 교체했고 1-of-1 DVN 쓰는 고객 앱들 대상 멀티 DVN 교체 요구했으며 1-of-1 DVN 앱에는 DVN이 서명하지 않도록 개선함 원문